Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG

Transkript

1 Beratung Lösungen Services Security by Design PETER REINECKE & THOMAS NEYE 1

2 Agenda 1 2 Was ist Security by Design? Einführung Aktuelle Situation Software Development Lifecycle (SDL) Immer wieder Software Aktuelle Bedrohungsansätze OWASP 3 Zusammenfassung und Ausblick 2

3 Was ist Security by Design?

4 IT Trends Überblick IT Trends 2011 (BITKOM ) Cloud Computing Mobile Anwendungen IT Sicherheit Virtualisierung 4

5 Studie zur Bedrohungslage Hackerangriffe: 89% (71%) Social Networks: 73% (61%) SAAS/Cloud Computing: 70% (58%) Datenschutz: 55% (56%) (Quelle: NIFIS Januar, IT-Sicherheit und Datenschutz 2013/2014) 5

6 Aktuelle Bedrohungen (Quelle: 6

7 Sicherheitslücken in Software 7

8 Security by Design Security by Design steht für integrierte Softwaresicherheit und setzt voraus, Sicherheit als explizite Anforderung in den Entwicklungsprozess aufzunehmen, sowie ganzheitliche Sicherheitsmaßnahmen von der Initialisierung an zu berücksichtigen, umzusetzen und zu testen. (Quelle: 8

9 Sicherheit im Software Entwicklungsprozess Nicht explizit im Anforderungsprozess Schwerpunkt: Funktionale Anforderungen Trennung der Verantwortlichkeiten Zeitpunkt für Sicherheitsmaßnahmen Häufig kurz vor Ende im Test (Penetration etc.) Hoher Aufwand für die Behebung Awareness bei Entwicklern KPIs im Entwicklungsprozess 9

10 Detailbetrachtung Entwicklung Tools/Testing Prozess Code Patterns Thread Modeling Managed Code Sicherheitsorientierte Programmiersprachen Code Reviews Code Analyse Checkmarx HP Fortify Source Code Analyzer by HP IBM Rational AppScan FindBugs Lint OWASP O2 Platform Penetration Test (Nmap, Nessus etc.) Reifegradmodelle CMMI-Dev TRIKE CORAS OpenSAMM BSIMM Entwicklungsmodelle SDLs SSF (Software Security Framework) 10

11 OWASP CLASP Comprehensive, Lightweight Application Security Process Basiert auf 7 AppSec Best Practices Guides Deckt den kompletten Software Lifecycle ab (nicht nur Entwicklung) Anpassbar auf jeden Entwicklungsprozess Definiertes Rollenmodell über den SDLC 24 Rollenbasierte Prozesse Einfacher Start 11

12 Microsoft SDL Entwickelt für interne MS Software Erweitert und veröffentlicht als Standardvorgehen Reine Microsoft Versionen seit der Veröffentlichung 12

13 Cigital Touchpoint s Gary McGraw s und Cigital s model 7 Best Practices 13

14 Zusammenfassend Microsoft SDL Heavyweight, geeignet für große Firmen/ISVs Touchpoints Lightweight Fokus auf der Entwicklung, Best Practices mit Code Pattern, wenig Lifecycle Prozess OWASP CLASP Viele Aktivitäten aber wenig Prioritäten im Prozess 14

15 Microsoft Software Development Lifecycle (SDL) 15

16 Einführung SDL Minimalumsetzung mit 5 Schritten Management Unterstützung Awareness und Schulung Risikoanalyse Sichere Programmierung Test und Review Reifegrad Modelle zur Überprüfung BSIMM OpenSAMM 16

17 SDL in Agilen Prozessen SDL-Agile: Integration in jeden SPRINT Definition von 3 Kategorien: Every Sprint Requirements Agile Bucket Requirements One Time Requirements 17

18 Open Web Application Security Project (OWASP) Das Open Web Application Security Project (OWASP) ist eine Non-Profit-Organisation mit dem Ziel, die Sicherheit von Anwendungen und Diensten im WWW zu verbessern. (gegründet 2004) An der OWASP-Community sind Firmen, Bildungseinrichtungen und Einzelpersonen aus aller Welt. Sie steht nicht mit Technologiefirmen in Verbindung obgleich sie deren Einsatz von Technologie unterstützt. Das OWASP verfolgt den Ansatz, Informationssicherheit unter Berücksichtigung der Beteiligten, Abläufe und Ausmaße der Technologie zu erreichen. Quelle: Internet Wiki 18

19 OWASAP Sicherheitsrisiken Top Top Top Injection (SQL, LDAP, Xpath, NoSQL, OS, ) 1 2 Fehler in Authentifizierung und Session Management (Checkliste) 3 3 Cross-Site Scripting (XSS) - (Stored, Reflected, DOM based XSS) 2 4 Unsichere direkte Objektreferenzen 4 5 Verlust der Vertraulichkeit sensibler Daten 6 6 Sicherheitsrelevante Fehlkonfiguration 7/9* 7 Fehlerhafte Autorisierung auf Anwendungsebene 8 8 Cross-Site Request Forgery (CSRF) 5 9 Benutzen von Komponenten mit bekannten Schwachstellen (Bsp. Identify your components, you need siehe BoS von VW) 10 Ungeprüfte Um- und Weiterleitungen 10 * Wurden zusammengefasst ( Kryptografisch unsichere Speicherung (7) und Unzureichende Absicherung der Transportschicht (9) - Quelle: OWASAP Top c 19

20 Threads in einer WebApp 20

21 Bedrohungsrisiken/Exploits Exploits ist das Ausnutzen bzw. dokumentieren von Sicherheitslücken in Programmen und das meistens von namenhaften Softwareherstellern. Lokale/Remote Exploits DoS-Exploits Command-Execution-Exploits SQL-Injection-Exploits Zero-Day-Exploits, sind Sicherheitslücken, für die es noch kein Patch gibt und sind somit besonders gefährlich. Menschliches Fehlverhalten (Konfiguration, Administration, etc.) Mögliche Maßnahmen: IDS und IPS Stateful Firewalls und NAC (Network Access Control) Managed Codes (Frameworks) Quelle: Internet, Wiki, 21

22 Werkzeuge/Toolskit Test der Front-Ends durch Security-Scanner Nikito2 Skiofish sqlmao Arachni Selenium Durchgängiges Testen von Anwendungen Burp Suite HP Quality Center IBM Rational Appscan 22

23 Frameworks IT Architecture Policy Frameworks IT Architecture Policies and Guidelines HfS sadm Framework (Architektur Management) Definitionen/Umsetzung von Architektur Standards/Bausteine/Anwendungen BoS IT Sicherheitsregelwerk Politik Handlungsleitlinien Regelungen (Systemkomponenten, Netzwerk, Anwendungen, etc.) IT-PEP / (SEP) Festlegung von Projektphasen, Setzen von Meilensteinen oder Aufteilung der Aufgaben und Verantwortlichkeiten nach Gewerken. (PM, Beauftragung, Design-Entwicklung, IT-Systeme, Service Bereitstellung etc.) 23

24 Zusammenfassung Software Sicherheit hat noch nicht den Stellenwert wie z.b. Netzwerksicherheit Ansätze sind vorhanden, Durchgängigkeit der Frameworks ist noch nicht vollständig Herausforderung: Neue Technologien in bestehende Prozesse zu integrieren Security by Design muss als nachhaltiger Prozess integriert und etabliert werden Ausbildung, Prozess Review, Weiterentwicklung, klare Zuordnung und Rollen im Entwicklungsprozess 24

25 Vielen Dank für Ihre Aufmerksamkeit. Beratung Services Lösungen Ihre OS Ansprechpartner für IT-Security Peter Reinecke Thomas Neye Alessandro Volta Straße Wolfsburg 25